최신판 |
당신의 편집 |
1번째 줄: |
1번째 줄: |
− | '''봇넷'''<!--봇 넷, 봇네트-->(botnet)<!--botnet, Bot net-->이란 [[로봇]](Robot)과 [[네트워크]](Network)를 합성한 단어로서, 악성 소프트웨어인 [[봇]](bot)에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. | + | '''봇넷(botnet)'''<!--봇넷, 봇 넷--><!--botnet, Bot net-->이란, 로봇(Robot)과 네트워크(Network)를 합성한 단어로, 악성 소프트웨어인 [[봇]]에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. |
| + | |
| + | * 봇(bot): 로봇(Robot)에서 파생된 단어로 특정기능을 자동으로 수행하는 프로그램을 의미한다. |
| + | |
| | | |
| ==개요== | | ==개요== |
18번째 줄: |
21번째 줄: |
| | | |
| ==프로토콜== | | ==프로토콜== |
− | [[파일:IRC봇넷.png|썸네일|200픽셀|'''중앙 집중형 구조''']]
| |
| 봇마스터는 봇넷 디바이스들에게 명령을 내리기 위해 C&C 서버를 운영하고 있으며, 제3자에게 들키지 않도록 특정 프로토콜을 사용한다. C&C서버와 통신하는 봇넷 프로토콜은 4가지 방식이 있다. <ref> 임선희, 조재익, 이병길 〈[http://210.101.116.28/W_files/kiss9/52809214_pv.pdf 비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출]〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10 </ref> | | 봇마스터는 봇넷 디바이스들에게 명령을 내리기 위해 C&C 서버를 운영하고 있으며, 제3자에게 들키지 않도록 특정 프로토콜을 사용한다. C&C서버와 통신하는 봇넷 프로토콜은 4가지 방식이 있다. <ref> 임선희, 조재익, 이병길 〈[http://210.101.116.28/W_files/kiss9/52809214_pv.pdf 비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출]〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10 </ref> |
| | | |
− | ===IRC===
| + | ;IRC |
| IRC 기반 봇넷은 다른 방식에 비해 보안성은 상대적으로 떨어지지만, 가장 보편적으로 사용되고 있는 방식이다. IRC를 통해 비밀 채널을 생성하여 사용한다. 디도스 공격용 봇넷인 경우, IRC 채널 방식을 선호한다. | | IRC 기반 봇넷은 다른 방식에 비해 보안성은 상대적으로 떨어지지만, 가장 보편적으로 사용되고 있는 방식이다. IRC를 통해 비밀 채널을 생성하여 사용한다. 디도스 공격용 봇넷인 경우, IRC 채널 방식을 선호한다. |
| | | |
− | ===HTTP===
| + | ;HTTP |
− | HTTP 기반 봇넷은 정상적인 HTTP 웹 트래픽 속에 섞여 발각되지 않도록 하는 방식이다. HTTP 통신인 경우, [[도메인 생성 알고리즘]](DGA; Domain Generation Algorithm)을 사용하여, 도메인 주소로 C&C 서버가 노출되는 것을 방지한다. 또한, IP 주소가 노출되지 않도록 도메인 주소에 다수의 IP 주소를 시간 간격을 두고 매핑시켜 놓는 [[패스트 플럭스 DNS]](Fast flux DNS 기법)를 사용한다. | + | HTTP 기반 봇넷은 정상적인 HTTP 웹 트래픽 속에 섞여 발각되지 않도록 하는 방식이다. HTTP 통신인 경우, 도메인 생성 알고리즘(DGA; Domain Generation Algorithm)을 사용하여, 도메인 주소로 C&C 서버가 노출되는 것을 방지한다. 또한, IP 주소가 노출되지 않도록 도메인 주소에 다수의 IP 주소를 시간 간격을 두고 매핑시켜 놓는 [[패스트 플럭스 DNS]](Fast flux DNS 기법)를 사용한다. |
− | [[파일:P2P봇넷.png|썸네일|200픽셀|'''분산형 구조''']]
| |
| | | |
− | ===P2P===
| + | ;P2P |
| P2P 기반 봇넷은 각 노드가 C&C 서버 기능을 수행한다. 각 노드는 연결되는 상대 피어들에 대한 IP주소를 가지고 있어야 한다. 새로 감염되는 디바이스가 연결해야 하는 IP주소를 얻기 위해서는 악성코드 실행 시, 특정 서버에 접속하여 IP주소를 가져와야 한다. | | P2P 기반 봇넷은 각 노드가 C&C 서버 기능을 수행한다. 각 노드는 연결되는 상대 피어들에 대한 IP주소를 가지고 있어야 한다. 새로 감염되는 디바이스가 연결해야 하는 IP주소를 얻기 위해서는 악성코드 실행 시, 특정 서버에 접속하여 IP주소를 가져와야 한다. |
| | | |
− | ===Tor===
| + | ;Tor |
− | 토르(Tor) 네트워크에서 제공하는 서비스를 이용하여 C&C 서버를 운영한다. C&C 서버의 IP 주소가 노출되지 않도록 하기 위함이며, [[제우스 트로잔 봇넷]](Zeus Trojan Botnet)이 토르 방식을 사용한다. <ref> AEP코리아네트 〈[https://blog.naver.com/aepkoreanet/221532280623 Botnet(봇넷)Attack(공격)]〉, 《네이버 블로그》 2012-10 </ref> | + | 토르(Tor) 네트워크에서 제공하는 서비스를 이용하여 C&C 서버를 운영한다. C&C 서버의 IP 주소가 노출되지 않도록 하기 위함이며, [[제우스 트로잔 봇넷]](Zeus Trojan Botnet)이 토르 방식을 사용한다. <ref> AEP코리아네트 〈[https://blog.naver.com/aepkoreanet/221532280623 Botnet(봇넷)Attack(공격) |
| + | ]〉, 《네이버 블로그》 2012-10 </ref> |
| | | |
| + | |
| ==구성== | | ==구성== |
| 봇넷은 악성코드에 감염된 디바이스와 인터넷을 통해 상호 연결된 네트워크로 구성되어 있다. 일반적으로 범죄행위에 사용되며 최대 백만대의 좀비 디바이스를 포함할 수 있으며, 매일 최대 600억개의 스팸메일을 발송할 수 있다. | | 봇넷은 악성코드에 감염된 디바이스와 인터넷을 통해 상호 연결된 네트워크로 구성되어 있다. 일반적으로 범죄행위에 사용되며 최대 백만대의 좀비 디바이스를 포함할 수 있으며, 매일 최대 600억개의 스팸메일을 발송할 수 있다. |
49번째 줄: |
52번째 줄: |
| 좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 말한다. 주로 PC에 해당되었으나, 최근에는 스마트폰, 태블릿, IoT 등으로 확대되고 있다. | | 좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 말한다. 주로 PC에 해당되었으나, 최근에는 스마트폰, 태블릿, IoT 등으로 확대되고 있다. |
| | | |
− | ==사물인터넷(IoT) 보안==
| |
− |
| |
− | 인터넷에 연결된 사물이 실시간으로 상호 소통하는 IoT 기술은 기업 성장을 견인하고 개인의 삶의 질을 향상시키는 핵심 미래 동력이 될 것으로 기대를 모으고 있다. 전 세계적으로 IoT 기술 도입이 급격히 증가함에 따라, 자율주행자동차를 비롯한 다양한 IoT 기기와 네트워크, 플랫폼을 노린 보안 위협은 날로 높아지고 있는 추세다. 리서치 전문 기관 [[가트너]]에 따르면, 국내 사물인터넷 시장은 2020년까지 연평균 38.5%의 고성장을 거듭될 전망이다. 그리고 이러한 상황 속에서 사물인터넷 기기를 노리는 보안 위협에 대해 파악할 필요가 강조되고 있다.
| |
− |
| |
− | ;IoT 영역별 보안 공격
| |
− | :{|class=wikitable width=1200
| |
− | !align=center|'''IoT 영역'''
| |
− | !align=center|'''설명'''
| |
− | !align=center|'''IoT 보안 공격'''
| |
− | |-
| |
− | |align=center|'''IoT 기기'''
| |
− | |align=lcenter|센서와 통신기능이 내장되어 자동으로 데이터를 주고받는 물리적 기기<br>
| |
− | ( [[와이파이 라우터]], 커넥티드카, 스마트 냉장고, 스마트 TV 등 )
| |
− | |align=center|취약점 발굴, [[펌웨어 공격]], 공급망 공격, 비인가 기기를 통한 공격, IoT 기기 봇넷화
| |
− | |-
| |
− | |align=center|'''IoT 네트워크'''
| |
− | |align=center|기기-기기간, 기기-사용자간 통신을 지원<br>
| |
− | (블루투스, [[지그비]], [[쓰레드]] 등의 근거리 통신망이 주로 사용된다.)
| |
− | |align=center|[[스푸핑]], [[스니핑]], [[중간자공격]]
| |
− | |-
| |
− | |align=center|'''IoT 서비스'''
| |
− | |align=center|IoT 서비스를 제공하기 위한 웹사이트, 애플리케이션 및 모바일
| |
− | |align=center|웹 애플리케이션 해킹, 비인가 사용자 접속, 무차별 대입 공격(brute force attack)
| |
− | |}
| |
− |
| |
− | ;IoT 보안사고 발생 주요 원인 <ref name="IoT보안"> 김미희 스타, 〈[http://www.igloosec.co.kr/BLOG_IoT%20%EB%B3%B4%EC%95%88%EC%9C%84%ED%98%91%EC%97%90%20%EB%94%B0%EB%A5%B8%20%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88?searchItem=&searchWord=&bbsCateId=17&gotoPage=2#1 IoT 보안위협에 따른 대응방안]〉, 《이글루시큐리티 블로그》, 2017-06-07</ref>
| |
− |
| |
− | :{|class=wikitable width=1200
| |
− | !align=center|'''기간'''
| |
− | !align=center|'''구분'''
| |
− | !align=center|'''피해 현황'''
| |
− | !align=center|'''발생 원인'''
| |
− | |-
| |
− | |align=center|2004년 11월
| |
− | |align=center|해킹된 CCTV 및 IP카메라 영상제공 사이트 발견
| |
− | |align=center|7만 3천개의 CCTV를 해킹하여 실시간으로 보여주는 사이트 공개<br>
| |
− | (국내 위치한 CCTV 6천개 포함)
| |
− | |align=center|접근계정 관리미흡
| |
− | |-
| |
− | |align=center|2015년 9월
| |
− | |align=center|백도어가 내장된 CCTV 발견
| |
− | |align=center|중국에서 수입된 일부 가정용 CCTV에 제조사가 숨겨놓은 [[백도어]](원격 접속 프로그램) 발견
| |
| | | |
− | |align=center|디바이스 취약점
| |
− | |-
| |
− | |align=center|2016년 9월
| |
− | |align=center|[[미라이 봇넷]](Mirai Botnet)
| |
− | |align=center|Telnet, SSH 포트가 오픈되어 있는 IoT 디바이스에 Brute Force(Default ID/Password)를 통해 접근<br>
| |
− | [[HTTP]]와 [[TCP]], [[UDP Flood]]로 세 가지의 공격 유형으로 디도스 공격 가능<br>
| |
− | 메모리 스크래핑 재부팅 방지기능 탑재, 미라이 봇넷을 이용하여 KrebsonSecurity(2016.09)<br>
| |
− | OVH, Hosting(2016.09), DYN(2016.10) 디도스 공격
| |
− | |align=center|접근계정 관리미흡
| |
− | |-
| |
− | |align=center|2017년 3월
| |
− | |align=center|취약한 와이파이 캠(WIFI CAM) 정보공개
| |
− | |align=center|354 벤데사에서 1,200개 이사 브랜드로 판매되고 있는 중국 무선 웹캠 버그 공개<br>
| |
− | 쇼단(Shodan.io)에서 18만 5천개 이상의 취약한 웹캠 목록 공개
| |
− | |align=center|디바이스 취약점
| |
− | |}
| |
| | | |
| + | ==사례== |
| ===미라이 봇넷=== | | ===미라이 봇넷=== |
− | 2016년 10월, 미국 동부 지역 마비 사태를 일으키며 많은 사람들에게 IoT 보안에 대해 경각심을 불러 일으킨 [[미라이 봇넷]](Mirai Botnet) 디도스 공격이다. 공격자는 다수의 IoT 기기를 악성코드 [[미라이]]에 감염시켜 디도스 공격용 봇 역할을 하게 만들었다. 공격자들은 대부분의 주요 웹 사이트가 사용하는 [[도메인 이름 시스템]](DNS; Domain Name Service)서비스 업체인 딘(Dyn)을 다운시켜 결과적으로 트위터, 넷플릭스, 페이팔 등의 서비스에 대한 접근을 차단했다. <ref> 한국인터넷진흥원(KISA), 〈[https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24663&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9a2V5d29yZCZzZWFyY2hfd29yZD0lRUIlQUYlQjglRUIlOUQlQkMlRUMlOUQlQjQrJUVCJUI0JTg3JUVCJTg0JUI3 IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의]〉, 《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25</ref> {{자세히|미라이 봇넷}}
| |
− |
| |
− | [[파일:미라이봇넷공격.jpg|썸네일|가운데|700픽셀|'''미라이 봇넷 공격 시나리오(출처: 이글루시큐리티)''']]
| |
− |
| |
− | ===사토리 봇넷===
| |
− | 미라이 봇넷의 변종인 [[사토리 봇넷]](Satori Botnet)은 2017년 11월 최초로 발견되었다. 국내 가정용 공유기의 취약점을 이용해 4만여 대를 해킹, 5월에는 최소 24만 대 이상의 공유기를 감염시켰다. 이로 인해 개인 CCTV 해킹으로 인한 사생활 침해가 심각한 문제로 떠올랐다.
| |
− |
| |
− | ==예방 및 대응==
| |
− |
| |
− | ;예방
| |
− |
| |
− | * MS 등 운영체제(OS) 제조업체나 보안기관에서 제작한 [[안전가이드]]를 준수한다.
| |
− | * Windows XP 사용자의 경우, 개인 방화벽, 악성코드 다운로드 예방 등 다양한 보안기능을 가진 [[서비스팩2]](SP2)를 설치해 보안을 강화한다.
| |
− | * 주기적으로 [[바이러스 백신]] 업데이트를 하고 점검한다.
| |
− | * 개인용 방화벽을 사용한다.
| |
− | * 인터넷이나 로컬 네트워크로부터 감염 시스템 연결을 차단한다.
| |
− | * PC에 저장된 주요 정보(은행, 신용카드 정보 등)는 즉시 해당 기관에 통보하여 조치한다.
| |
− | * 네트워크 지연, 대량의 트래픽 급증 등은 악성 소프트웨어 존재 가능성이 있으므로 보안 장비 및 네트워크 장비의 로그나 시스템을 분석하고 주기적으로 확인한다.
| |
− | * [[패킷 스니퍼]]를 이용해 네트워크 트래픽 내용을 분석하여 감염된 네트워크 시스템을 탐지 및 격리시킨다.
| |
− |
| |
− | ;대응
| |
− |
| |
− | * 네트워크 격리
| |
− | -악성코드에 감염된 시스템을 네트워크로부터 격리시킴으로써 봇의 확산을 차단한다.
| |
− |
| |
− | * 데이터 보존
| |
− | - 감염된 시스템과 침입차단시스템, 메일서버, IDS, DHCP 서버, 프락시 서버 등과 같은 관련 시스템들의 데이터 및 로그를 보존한다.
| |
| | | |
− | * 피해범위 파악
| + | ==문제점 및 대안== |
− | - 네트워크 패킷 스니퍼를 통한 데이터 수집으로 봇에 감염된 시스템의 수를 파악해 피해 범위를 파악한다.
| |
| | | |
− | * 침해사고대응팀, 수사기관 등 관련 기관에게 연락하고 조속히 처리한다. <ref> 한국정보보호진흥원(KISA)〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf 악성 Bot 특성 분석을 통한 탐지 및 대응책]〉, 《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20 </ref>
| |
| | | |
| {{각주}} | | {{각주}} |
| | | |
| ==참고자료== | | ==참고자료== |
− | * DB 포탈사이트 〈[https://www.kdata.or.kr/info/info_04_view.html?field=&keyword=&type=techreport&page=222&dbnum=127613&mode=detail&type=techreport 악성코드를 이용한 봇넷 공격]〉, 《한국데이터산업진흥원》 2018-08-14
| |
− | * 알약 〈[https://blog.alyac.co.kr/939 2016 봇넷 연구 보고서]〉, 《EST security 알약 블로그》 2017-01-23
| |
− | * 임선희, 조재익, 이병길 〈[http://210.101.116.28/W_files/kiss9/52809214_pv.pdf 비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출]〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10
| |
− | * AEP코리아네트 〈[https://blog.naver.com/aepkoreanet/221532280623 Botnet(봇넷)Attack(공격)]〉, 《네이버 블로그》 2012-10
| |
− | * 김미희 스타, 〈[http://www.igloosec.co.kr/BLOG_IoT%20%EB%B3%B4%EC%95%88%EC%9C%84%ED%98%91%EC%97%90%20%EB%94%B0%EB%A5%B8%20%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88?searchItem=&searchWord=&bbsCateId=17&gotoPage=2#1 IoT 보안위협에 따른 대응방안]〉, 《이글루시큐리티 블로그》, 2017-06-07
| |
− | * 한국인터넷진흥원(KISA) 〈[https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24663&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9a2V5d29yZCZzZWFyY2hfd29yZD0lRUIlQUYlQjglRUIlOUQlQkMlRUMlOUQlQjQrJUVCJUI0JTg3JUVCJTg0JUI3 IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의]〉, 《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25
| |
− | * 한국정보보호진흥원(KISA) 〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf 악성 Bot 특성 분석을 통한 탐지 및 대응책]〉, 《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20
| |
| | | |
− | ==같이 보기== | + | ==같이보기== |
| * [[디도스]] | | * [[디도스]] |
| * [[HTTP]] | | * [[HTTP]] |
| * [[P2P]] | | * [[P2P]] |
− | * [[미라이 봇넷]] | + | * [[좀비 PC]] |
− | * [[사물인터넷]]
| |
− | | |
− | {{보안|검토 필요}}
| |